Trend Micro alerta del riesgo los servidores comprometidos en el mercado del cibercrimen

Recomendados:  La persistencia del ransomware Webinar Ciber resiliencia en el ecosistema eléctrico Leer

La firma de seguridad ha publicado una investigación en la que afirma que los servidores de muchas organizaciones están comprometidos, se abusa de ellos y se alquilan como parte del sofisticado ciclo de vida de monetización criminal. Los hallazgos provienen del segundo de una serie de informes que analizan cómo funciona el mercado del hosting clandestino.

Los descubrimientos muestran que la actividad del minado de criptomonedas debería ser el indicador para que los equipos de seguridad TI estén en alerta máxima. Si bien la minería de criptomonedas puede no causar interrupciones o pérdidas financieras por sí sola, el software de minería suele utilizarse para monetizar los servidores comprometidos que están inactivos mientras los delincuentes trazan planes más grandes para ganar dinero. Estos incluyen la extracción de datos valiosos, la venta de acceso al servidor para un mayor abuso posterior, o la preparación para un ataque de ransomware dirigido. Por tanto, cualquier servidor que se descubra que contenga criptomineros debe ser señalizado para su reparación e investigación inmediatas. 

Bob McArdle, director del equipo de investigación Trend Micro Forward-Looking Threat Research, explica que “el mercado negro de cibercrimen cuenta con una sofisticada variedad de ofertas de infraestructura para apoyar las campañas de monetización de todo tipo, desde hosting dedicado a prueba de bombas hasta servicios de anonimato, provisión de nombres de dominio y activos legítimos comprometidos”.

El informe destapa los principales servicios de hosting clandestino disponibles en la actualidad, proporcionando detalles técnicos de cómo funcionan y cómo los delincuentes los utilizan para llevar a cabo sus negocios, de forma que un mayor conocimiento pueda contribuir a bloquear las vías que utilizan los ciberdelincuentes.

Servidores cloud
Según los expertos de la compañía, los servidores en la nube están particularmente expuestos a ser comprometidos y utilizados en la infraestructura del hosting clandestino, ya que pueden carecer de la protección de sus equivalentes on-premise.   

Los ciberdelincuentes pueden intentar explotar las vulnerabilidades del software del servidor,  utilizar ataques de fuerza bruta para comprometer las credenciales o robar los inicios de sesión y desplegar malware mediante ataques de phishing. Incluso pueden apuntar al software de gestión de infraestructura (claves de API en la nube), lo que les permite crear nuevas instancias de máquinas virtuales o suministrar recursos.

Una vez comprometidos, estos activos de servidor en la nube podrían venderse en foros clandestinos, mercados dedicados e incluso redes sociales para su uso en una variedad de ataques.

En todo caso, “los activos corporativos legítimos comprometidos pueden ser infiltrados y abusados ya sea en las instalaciones propias de la empresa o en la nube. Una buena regla general es que lo que está más expuesto tiene más probabilidades de ser explotado", sostiene el experto de Trend Micro.

La investigación también abarca las nuevas tendencias para los servicios de infraestructura underground, incluido el abuso de los servicios de telefonía e infraestructura de satélites, y la computación "parasitaria" de alquiler, incluidos el RDP y el VNC ocultos.